Recht kompakt | China | E-Commerce
China: E-Commerce und Datenschutz
Seit 1. Januar 2019 ist das E-Commerce Law anwendbar. Im Bereich des Datenschutzes sind vor allem das Cybersecurity Law und zwei neue Gesetze aus dem Jahr 2021 zu beachten.
06.09.2022
Von Julia Merle, Robert Herzner
In den letzten Jahren haben datenschutzrelevante Bestimmungen Eingang in verschiedene chinesische Gesetze und Verordnungen (auch branchenspezifische) gefunden.
Das E-Commerce Law (ECL) vom 31. August 2018 reguliert E-Commerce-basierte Transaktionen sowie Dienstleistungen und formuliert Verbraucherschutzvorgaben. Es ist einschlägig, wenn eine chinesische Partei beteiligt ist (Crossborder E-Commerce/CBEC). Das Gesetz gibt Standards für Sammlung und Nutzung der im Rahmen von E-Commerce generierten Daten vor, Art. 23 ff. ECL. Hinsichtlich der erforderlichen Lizenzen ist beim Vertriebskanal zu unterscheiden, ob der Vertrieb aus dem Ausland erfolgt und über eine eigene Online-Plattform. Bei B2C-Geschäften ist zwischen dem Vertrieb mittels eines Webshops über einen Dritten (platform) oder dem Verkauf über eine selbst betriebene Webseite (operator) abzugrenzen. Die chinesischen E-Commerce-Anbieter als Pendant zu Amazon (beispielsweise Taobao, Tmall) verfügen über eine sehr hohe Marktstellung und bieten für Verkäufer eigene Stores in verschiedenen Formaten an. Weitere Regelungen des ECL betreffen den elektronischen Zahlungsverkehr und die Zustellung, die Haftungsregelungen des Verkäufers entsprechend den üblichen Bestimmungen.
Die überarbeiteten "Measures for Supervision and Administration of Online Transactions" betreffend den Verkauf von Waren oder Dienstleistungen über das Internet traten am 1. Mai 2021 in Kraft. Sie schreiben beispielsweise die vorherige oder gleichzeitige Einwilligung der Nutzer von E-Commerce-Plattformen in die Datenverarbeitung sowie gegebenenfalls weitere Einwilligungen in Bezug auf sensible persönliche Informationen vor.
Verbraucher haben gemäß Art. 24 Verbraucherschutzgesetz ein siebentägiges Rückgaberecht, ohne Gründe angeben zu müssen. Artikel 29 des Gesetzes betrifft die Datenverarbeitung.
Zu elektronischen Unterschriften existiert das "Electronic Signature Law".
Im seit 1. Januar 2021 geltenden Zivilgesetzbuch (Civil Code; ZGB) ist geregelt, dass das Schriftformerfordernis auch beim elektronischen Vertragsschluss gewahrt sein kann (Art. 469 ZGB). Den Abschluss von Verträgen bei Bestellung im Internet sieht Art. 491 Abs. 2 ZGB vor (vgl. Art. 49 ECL).
Für Unternehmen generell zu beachten ist das am 1. Juni 2017 in Kraft getretene Cybersicherheitsgesetz vom 7. November 2016 (Cybersecurity Law; CL). Es dient vor allem dem Schutz der Cybersicherheit sowie der nationalen Sicherheit, enthält jedoch für seinen Anwendungsbereich auch Datenschutzbestimmungen. Art. 37 CSL bestimmt, dass persönliche Informationen und "wichtige Daten", die Betreiber kritischer Informationsinfrastruktur innerhalb des Gebiets der VR China sammeln und erstellen, grundsätzlich innerhalb Chinas gespeichert werden müssen (Pflicht zur "Datenlokalisierung"). Um von den Bestimmungen erfasst und als Netzwerkbetreiber definiert zu werden, reicht bereits der Betrieb eines Servers in China aus. Dann müssen alle erhobenen Kundendaten sowie wichtige Geschäftsinformationen in China gespeichert werden. Diese Daten dürfen nur in besonderen Fällen außer Landes exportiert werden. Netzwerkbetreiber müssen nach Art. 41 CSL bei Sammlung und Nutzung persönlicher Informationen bestimmte Prinzipien befolgen (vgl. Art. 1035 ZGB).
In Bezug auf das CL gibt es inzwischen einige Regulations und Measures, in denen einzelne Bereiche detaillierter geregelt werden; zum Teil liegen untergesetzliche Regelungen und Richtlinien als Entwurf vor. So gilt seit dem 15. Februar 2022 eine neue Fassung der "Measures for Cybersecurity Review", die am 1. Juni 2020 in Kraft getreten waren. Die Schaffung eines solchen Systems zur Überprüfung der nationalen Sicherheit hinsichtlich Betreibern kritischer Informationsinfrastrukturen ist in Art. 35 CL vorgesehen.
Das am 26. Oktober 2019 verabschiedete Kryptografiegesetz (Encryption oder Cryptography Law) gilt seit 1. Januar 2020 und betrifft insbesondere die kommerzielle Verschlüsselung.
Das ZGB schreibt insbesondere das Recht auf Privatsphäre ausdrücklich fest. Das vierte Buch zu den Persönlichkeitsrechten – beispielhaft in Art. 990 ZGB aufgezählt – umfasst im 6. Kapitel (Art. 1032 bis 1039 ZGB) zudem grundsätzliche Bestimmungen zum Schutz persönlicher Informationen. Artikel 1034 ZGB enthält etwa eine Definition der persönlichen Informationen; die Voraussetzungen ihrer rechtmäßigen Verarbeitung schreibt Art. 1035 ZGB, die Rechte der natürlichen Personen Art. 1037 ZGB vor. Verstöße sollen grundsätzlich zur zivilrechtlichen Haftung nach Art. 995 ZGB führen (Ausnahmen in Art. 1036 ZGB). In einer justiziellen Auslegung zum ZGB legte das Oberste Volksgericht fest, dass Streitigkeiten über den Schutz persönlicher Informationen einen Klagegrund bilden können.
Seit 1. Oktober 2020 ist eine neue Fassung des "National Standard of Information Security Technology – Personal Information Security Specification" (GB/T 35273-2020), der Parallelen zu EU-, und OECD- Richtlinien aufweist, in Kraft. Er ersetzte die seit 2018 geltende Version. Darin werden Richtlinien zur Datenverarbeitung aufgestellt. Es wird zwischen sensiblen persönlichen Daten, bei deren Verletzung wesentliche Nachteile entstehen (ID, Biometrik, Anschauungen, Gesundheit, Finanzen) und generellen unterschieden. Geregelt werden Erhebung, Speicherung, Weitergabe von Daten und das Informationsrecht der Nutzer. Ist die Datenverarbeitung Hauptgeschäft und sind mehr als 200 Mitarbeitende angestellt oder werden über 1 Million individuelle Datensätze oder sensible Daten von über 100.000 Personen verarbeitet, ist ein Datenschutzbeauftragter zu benennen (Ziff. 11.1).
Am 10. Juni 2021 wurde das Datensicherheitsgesetz (Data Security Law) verabschiedet, es trat am 1. September 2021 in Kraft.
Das am 20. August 2021 erlassene "Gesetz zum Schutz persönlicher Informationen" (Personal Information Protection Law) ist seit dem 1. November 2021 in Kraft.
Die Entwicklungen im Datenschutzrecht bleiben dynamisch; es ist weiter mit Umsetzungsbestimmungen zu den Gesetzen zu rechnen.